Verschillende securitybedrijven waarschuwen voor een kritieke kwetsbaarheid in het Java Spring Framework waardoor een ongeauthenticeerde aanvaller door het versturen van een request code op kwetsbare systemen kan uitvoeren. Het beveiligingslek heeft de naam "Spring4Shell" gekregen. Een beveiligingsupdate is nog niet beschikbaar. Volgens verschillende bronnen wordt er inmiddels actief misbruik van het lek gemaakt. Spring is een zeer populair framework voor het ontwikkelen van Java-applicaties.
Er is online enige verwarring over het lek ontstaan, aangezien er ook een kwetsbaarheid in Spring Cloud is gevonden, aangeduid als CVE-2022-22963. Dit lek verschilt echter van Spring4Shell en heeft wel een beveiligingsupdate ontvangen, zo melden securitybedrijven Rapid7, Lunasec, Praetorian en Cyber Kendra.
Het bestaan van Spring4Shell kwam aan het licht door een beveiligingsonderzoeker die een proof-of-concept exploit voor een onbekende kwetsbaarheid in het Spring Framework publiceerde en het mogelijk maakt voor ongeauthenticeerde aanvallers om code op kwetsbare systemen uit te voeren. De exploit werd snel verwijderd. Rapid7 laat echter weten dat de kwetsbaarheid echt is en ongeauthenticeerde remote code execution mogelijk maakt.
Spring.IO, dat het Spring Framework ontwikkelt, heeft de kwetsbaarheid nog niet bevestigd. Er is ook nog geen CVE-nummer aan het beveiligingslek toegekend. Volgens Rapid7 zijn er wel mitigaties beschikbaar, maar zijn die niet in alle scenario's toepasbaar. "Exploitatie vereist een endpoint waarop DataBinder staat ingeschakeld (bijvoorbeeld een POST request dat data van de request body automatisch decodeert", stelt Praetorian. Het securitybedrijf adviseert als tijdelijke oplossing om verschillende gevaarlijke patronen aan een denylist toe te voegen, wat misbruik moet voorkomen. Het bedrijf zegt alle details over een exploit voor het lek met Spring.IO te hebben gedeeld en zal geen verdere informatie geven totdat updates beschikbaar zijn.
Lunasec meldt in een blogpost dat alle gebruikers van Spring Core kwetsbaar zijn. Het securitybedrijf voegt toe dat de kwetsbaarheid niet zo ernstig is als Log4Shell. "Alle aanvalsscenario's zijn complexer en hebben, vanwege hoe Class Loader Manipulation-aanvallen in Java werken, meer mitigatiefactoren dan Log4Shell", aldus Lunasec-ceo Free Wortley.
Spring heeft inmiddels updates uitgebracht. Het gaat om Spring Framework versies 5.3.18 en 5.2.20 waarmee het probleem wordt verholpen. Daarnaast komt er ook een update voor Spring Boot. Verdere zijn er initiële details bekendgemaakt, alsmede verschillende workarounds.
Het Nationaal Cyber Security Centrum (NCSC) en het Australische Cyber Security Centre (ACSC) hebben beveiligingsadviezen uitgebracht.
Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft inmiddels ook een advisory uitgebracht. De organisatie waarschuwt dat door het versturen van speciaal geprepareerde data naar een Spring Java-applicatie, zoals een webapplicatie, een aanvaller willekeurige code met de rechten van de getroffen applicatie kan uitvoeren. Afhankelijk van de applicatie kan het zijn dat een aanvaller zich niet hoeft te authenticeren.
De kwetsbaarheid wordt geïdentificeerd als CVE-2022-22965. Volgens de uitleg zijn applicaties die als Spring Boot executable worden uitgerold, wat de standaard is, niet kwetsbaar. Vanwege de aard van het beveiligingslek zouden er mogelijk andere mogelijkheden voor misbruik zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.